Ainsi fonctionne WannaCry, le ransomware qu’a infecté 150 pays

0

Les experts de cybersécurité et les autorités informatiques affirment qu’hier, une attaque de ransomware de très grande envergure a eu lieu dans plusieurs pays. Si le service public de santé britannique (NHS) ou encore le centre d’alerte et de réaction aux attaques informatiques (CERT) espagnol ont lancé des alertes plus tôt dans la journée, ce ne sont pas moins de 150 pays qui auraient été touchés par plus de 200 000 attaques selon les dernières infos de l’Europol mais le nombre et l’éventail de victimes sont probablement bien plus larges.

Baptisée WannaCry, l’attaque est initiée via l’exécution à distance d’un code SMBv2 dans Microsoft Windows. Cet exploit (nom de code : “EternalBlue”) a été mis à disposition en ligne via le dump de Shadowbrokers le 14 avril 2017 et corrigé par Microsoft le 14 Mars. Il semblerait que beaucoup d’entreprises n’aient pas installé le correctif. 

Wannacry map

Apparemment, les systèmes concernés sont les suivants:

Microsoft Windows Vista SP2
Windows Server 2008 SP2 and R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 and R2
Windows 10
Windows Server 2016

Détails techniques:

Le code malveillant n’est pas crypté et lance les commandes suivantes:

cmd.exe/c vssadmin delete shadows /all / quiet & wmic shadowcopy delete & bcdedit / set {default} 
bootstatuspolicy ignoreallfailures & bcdedit /set {default}  recoveryenabled no & wbadmin delete 
catalog -quietvs

Le porte-monnaie à payer est:

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

La liste des fichiers qu’il chiffre :

.der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot . 3ds .max .3dm .ods .ots .sxc .stc .dif .slk .
wb2 .odp .otp .sxd .std .uop .odg .otg .sxm . mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql . accdb .mdb .dbf .
odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cpp .pas .asm .cmd .bat .ps1 .vbs .dip .dch .sch .brd .jsp .php .
asp .java .jar .class .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .
wma .mid .m3u .m4u .djvu .svg .psd .nef .tiff .tif .cgm .raw .gif .png . bmp .jpg .jpeg .vcd .iso .backup .
zip .rar . tgz .tar .bak .tbk .bz2 .PAQ .ARC .aes .gpg . vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp 
.snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf . csv .txt .vsdx .vsd .edb .eml .msg .ost .pst . potm .potx .
ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw . xlsb .xlsm .xlsx .xls .dotx .dotm .
dot .docm .docb .docx .doc

Payer n’est pas la meilleure option

Le ransomware a demandé aux entreprises en moyenne 300 dollars par ordinateur pour récupérer ses données. La chiffre peut ne pas paraître énorme étant donné l’importance des fichiers d’une entreprise mais, comme toujours, il n’est pas recommandé de payer la rançon imposée par ransomware. Voici des conseils pour vous protéger face au ransomware.

About Author

Desirée Rodríguez

Directrice de Globb Security France. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @drodriguezleal.

Leave A Reply